3.

Parte II - Elementos De Gestin De Riesgos En Informtica

La funcin de la gestin de riesgos es identificar, estudiar y eliminar las fuentes de los eventos perjudiciales
antes de que empiecen a amenazar los procesos informticos.
La gestin de riesgos se divide generalmente en:
Estimacin De Riesgos
La estimacin de riesgos describe cmo estudiar los riesgos dentro de la planeacin general del entorno
informtico y se divide en los siguientes pasos:
La identificacin de riesgos genera una lista de riesgos capaces de afectar el funcionamiento normal
del entorno informtico.
El anlisis de riesgos mide su probabilidad de ocurrencia y su impacto en la organizacin.
La asignacin de prioridades a los riesgos.
Identificacin De Riesgos
En este paso se identifican los factores que introducen una amenaza en la planificacin del entorno
informtico. Los principales factores que se ven afectados son:
Creacin de la planificacin, que incluye: lanificacin e!cesivamente optimista, planificacin con
tareas innecesarias, y organizacin de un entorno informtico sin tener en cuenta reas desconocidas y la
envergadura del mismo.
La organizacin y gestin, que incluye: resupuestos bajos, El ciclo de revisin"decisin de las
directivas es ms lento de lo esperado.
El entorno de trabajo, que incluye: #al funcionamiento de las $erramientas de desarrollo, espacios
de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnolog%as es mas larga de lo esperado.
Las decisiones de los usuarios finales, que incluye: &alta de participacin de los usuarios finales y la
falta de comunicacin entre los usuarios y el departamento de informtica
El personal contratado, que incluye: &alta de motivacin, falta de trabajo en equipo y trabajos de
poca calidad.
Los procesos, que incluye: La burocracia, falta de control de calidad y la falta de entusiasmo.
Anlisis De Riesgos
'na vez $ayan identificado los riesgos en la planificacin, el paso siguiente es analizarlos para determinar su
impacto, tomando as% las posibles alternativas de solucin. La e!plicacin de (nlisis de riesgos se e!tender
posteriormente.
Exposicin A Riesgos
'na actividad )til y necesaria en el anlisis de riesgos es determinar su nivel de e!posicin en cada uno de
los procesos en que se $ayan identificado.
Estimacin De La Probabilidad De Perdida
Las principales formas de estimar la probabilidad de p*rdida son las siguientes:
+isponer de la persona que est ms familiarizada con el entorno informtico para que estime la
probabilidad de ocurrencia de eventos perjudiciales.
'sar t*cnicas +elp$i o de consenso en grupo. El m*todo +elp$i consiste en reunir a un grupo de
e!pertos para solucionar determinados problemas. +ic$o grupo realiza la categorizacin individual de las
amenazas y de los objetos del riesgo.
'tilizar la calibracin mediante adjetivos, en la cual las personas involucradas eligen un nivel de
riesgo entre ,probable, muy probable- y despu*s se convierten a estimaciones cuantitativas.
1
Prioriacin De Riesgos
En este paso de la estimacin de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el
esfuerzo para desarrollar la gestin de riesgos. Cuando se realiza la priorizacin ,elementos de alto riesgo y
peque.os riesgos-, estos )ltimos no deben ser de gran preocupacin, pues lo verdaderamente cr%tico se
puede dejar en un segundo plano.
!ontrol De Riesgos
'na vez que se $ayan identificado los riesgos del entorno informtico y analizado su probabilidad de
ocurrencia, e!isten bases para controlarlos que son:
lanificacin
/esolucin de riesgos
#onitorizacin de riesgos
Planificacin De Riesgos
0u objetivo, es desarrollar un plan que controle cada uno de los eventos perjudiciales a que se encuentran
e!puestos las actividades informticas.
Resol"cin De Riesgos
La resolucin de los riesgos est conformado por los m*todos que controlan el problema de un dise.o de
controles inadecuado, los principales son:
1. Evitar el /iesgo : 2o realizar actividades arriesgadas.
3. Conseguir informacin acerca del riesgo.
4. lanificar el entorno informtico de forma que si ocurre un riesgo, las actividades informticas sean
cumplidas.
5. Eliminar el origen del riesgo, si es posible desde su inicio.
6. (sumir y comunicar el riesgo.
ara ilustrar la forma en que puede controlar algunos de estos riesgos, la tabla 2o.4 ilustra los m*todos de
control ms comunes:
RIESGO METODOS DE CONTROL
Cambio de la prestacin del servicio
Uso de tcnicas orientadas al cliente
Dise!o para n"evos cambios
Recorte de la calidad
De#ar tiempo a las actividades de control
$lani%icacin demasiado optimista
Utili&acin de tcnicas ' (erramientas de estimacin
$roblemas con el personal contratado
$edir re%erencias personales ' laborales
Contratar ' plani%icar los miembros clave del e)"ipo
m"c(o antes de )"e comience el pro'ecto
7abla 2o. 4 #*todos de control de riesgos ms $abituales
#onitoriacin De Riesgos
La vida en el mundo informtico ser%a ms fcil si los riesgos apareciesen despu*s de que $ayamos
desarrollado planes para tratarlos. ero los riesgos aparecen y desaparecen dentro del entorno informtico,
2
por lo que se necesita una monitorizacin para comprobar como progresa el control de un riesgo e
identificar como aparecen nuevos eventos perjudiciales en las actividades informticas.
$. Parte III - Anlisis De Riesgos
El objetivo general del anlisis de riesgos es identificar sus causas potenciales, en la figura 2o. 5 se aprecia
por ejemplo, los principales riesgos que amenazan el entorno informtico. Esta identificacin se realiza en
una determinada rea para que se pueda tener informacin suficiente al respecto, optando as% por un
adecuado dise.o e implantacin de mecanismos de control8 a fin de minimizar los efectos de eventos no
deseados, en los diferentes puntos de anlisis.
(dems el anlisis de riesgos cumple los siguientes objetivos:
(nalizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas.
Llevar a cabo un minucioso anlisis de los riesgos y debilidades.
9dentificar, definir y revisar los controles de seguridad.
+eterminar si es necesario incrementar las medidas de seguridad.
Cuando se identifican los riesgos, los per%metros de seguridad y los sitios de mayor peligro, se
pueden $acer el mantenimiento mas fcilmente.
(ntes de realizar el anlisis de riesgos $ay que tener en cuenta los siguientes aspectos:
0e debe tener en cuenta las pol%ticas y las necesidades de la organizacin as% como la colaboracin
con todas las partes que la conforman y que intervienen en los procesos bsicos.
+ebe tenerse en cuenta los nuevos avances tecnolgicos y la astucia de intrusos e!pertos.
7ener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de mecanismos de
control.
El comit* o la junta directiva de toda organizacin debe incluir en sus planes y presupuesto los
gastos necesarios para el desarrollo de programas de seguridad, as% como tener en cuenta que esta parte
es fundamental de todo proceso de desarrollo de la empresa, especificar los niveles de seguridad y las
responsabilidades de las personas relacionadas, las cuales son complemento crucial para el buen
funcionamiento de todo programa de seguridad.
:tro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y
contramedidas puedan tener sobre el entorno informtico, sin olvidar los costos adicionales que se
generan por su implementacin.
El anlisis de riesgos utiliza el m*todo matricial llamado #(( +E /9E0;:0, para identificar la
vulnerabilidad de un servicio o negocio a riesgos t%picos, El m*todo contiene los siguientes pasos:
Localizacin de los procesos en las dependencias que intervienen en la prestacin del servicio ,<er
figura 2o. 6-.
3
&9;'/( 2o. 6 #atriz de dependencias vs. rocesos
Localizacin de los riesgos cr%ticos y su efecto en los procesos del 2egocio. En este paso se determina
la vulnerabilidad de una actividad a una amenaza. ara asignar un peso a cada riesgo 8 se consideran tres
categor%as de vulnerabilidad ,1 baja, 3 media, 4 alta- que se asignarn a cada actividad de acuerdo a su
debilidad a una amenaza ,causa de riesgo-. or ejemplo, si afirmamos que el riesgo a una +ecisin
equivocada tiene alto riesgo de vulnerabilidad, entonces tendr%a alta prioridad dentro de nuestras
pol%ticas de seguridad ,<er figura 2o. =-.
RIESGO *+, Obtenido -"lnerabilidad
Decisiones e)"ivocadas ./ 0LT0
1ra"de .. MEDI0
2"rto .3 MEDI0
&9;'/( 2o. = #atriz de riesgos vs. <ulnerabilidad
+entro del entorno informtico las amenazas ,causas de riesgo- se pueden clasificar as%:
2aturales: 9ncluyen principalmente los cambios naturales que pueden afectar de una manera u otra
el normal desempe.o del entorno informtico8 por ejemplo, la posibilidad de un incendio en el sitio
donde se encuentran los concentradores de cableado dado que posiblemente estn rodeados de paredes
de madera es una amenaza natural.
(ccidentales: 0on las ms comunes que e!isten e incluyen:
Errores de los usuarios finales: or ejemplo, El usuario tiene permisos de administrador y
posiblemente sin intencin modifica informacin relevante.
Errores de los operadores: or ejemplo, si un operador ten%a un sesin abierta y olvid salir del
sistema8 alguien con acceso f%sico a la mquina en cuestin puede causar estragos.
Error administrativo: or ejemplo, 9nstalaciones y configuraciones sin contar con mecanismos de
seguridad para su proteccin.
Errores de salida: or ejemplo, 9mpresoras u otros dispositivos mal configurados.
Errores del sistema: or ejemplo, da.os en arc$ivos del sistema operativo.
Errores de comunicacin: or ejemplo, permitir la transmisin de informacin violando la
confidencialidad de los datos.
4
+eliberadas: Estas amenazas pueden ser: activas ,accesos no autorizados, modificaciones no
autorizadas, sabotaje- pasivas,son de naturaleza muc$o ms t*cnica, como: emanaciones
electromagn*ticas y"o microondas de interferencia-.
Localizacin de los riesgos cr%ticos en las dependencias de la empresa y procesos que intervienen en
el negocio ,<er figura 2o. > y figura 2o. ?-.
$roceso 4 Ries5o Decisiones e)"ivocadas 1ra"de 2"rto
Gestin de centros
transaccionales
6 6
0dministracin de sistemas 6 6
0tencin al cliente 6 6
Conciliacin de c"entas 6 6 6
&9;'/( 2o. > #atriz de rocesos vs. /iesgo
Ries5os -s
Dependencias
Divisin 1inanciera Sistemas Cartera Contabilidad
Decisiones e)"ivocadas 6 6
1ra"de 6 6 6 6
2"rto 6 6 6 6
&9;'/( 2o. ? #atriz de riesgo vs. +ependencia
9dentificar los controles necesarios: En este paso se precisan los controles, los cuales son
mecanismos que ayudan a disminuir el riesgo a niveles m%nimos o en algunos casos eliminarlos por
completo. 0e debe tener en cuenta que dic$as medidas tienen tres diferentes capacidades que incluyen:
mecanismos de prevencin, mecanismos de deteccin y mecanismos de correccin8 y que dentro de un
proceso negocio funcionan como se describe en la figura 2o. @. En este paso se incluye la funcionalidad
y utilidad del control, y se identifican las personas responsables de la implantacin de los controles.
5
&igura 2o. @ &uncin de las medidas de control preventivas, de deteccin y correctivas.
+ise.ar los controles definitivos: En este paso se tienen los productos necesarios para iniciar el
proceso de implantacin de los controles utilizados o bien para empezar la construccin de dic$os
mecanismos.
Los siguientes criterios permiten evaluar en un monto simblico los mecanismos de control:
Confidencialidad: 0e refiere a la proteccin de la informacin principalmente de accesos no
autorizados. 9nformacin del personal, investigaciones y reportes de desarrollo son algunos de los
ejemplos de informacin que necesita confidencialidad.
9ntegridad: Es el servicio ofrecido por el departamento de informtica. +ebe ser adecuado, completo
y aut*ntico en el momento de ser procesada, presentada, guardada o transmitida la informacin.
+isponibilidad: 9ndica la disponibilidad que pueden tener en un determinado momento las
actividades informticas. Esta disponibilidad debe ser inmediata.
/esultados del anlisis de riesgos: Los resultados del anlisis de riesgos, deben dados a conocer
oportunamente para que sean incorporados, desde las primeras fases del proceso.
<erificar por parte de la auditor%a informtica, la incorporacin oportuna de los controles: La
auditor%a informtica debe conocer el resultado del anlisis de riesgos y verificar su implantacin
oportuna, para asegurar los mejores niveles de calidad, seguridad y efectividad de los procesos
informticos.
6
;losario
E/;:2:#9(
+isciplina cient%fica que pone las necesidades y capacidades $umanas como el foco del dise.o de
sistemas tecnolgicos. 0u propsito es asegurar que los $umanos y la tecnolog%a trabajan en completa
armon%a, manteniendo los equipos y las tareas en acuerdo con las caracter%sticas $umanas.
/9E0;:
Es el valor de las p*rdidas a que se e!ponen las empresas por la ocurrencia de eventos perjudiciales.
(#E2(A(
Las amenazas o causas del riesgo, se refieren a los medios o alternativas posibles que generan cada
uno de los riesgos.
C:27/:L
Control es toda accin orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o
valor de las p*rdidas ocasionadas por ellas. Los controles sirven para asegurar la consecucin de los
objetivos de la organizacin o asegurar el *!ito de un sistema y para reducir la e!posicin de los riesgos, a
niveles razonables. Los objetivos bsicos de los controles son : revenir las causas del riesgo, detectar la
ocurrencia de las causas del riesgo , y retroalimentando el sistema de control interno con medios
correctivos.
92BE/E27E
Esencial, permanente, que, por su naturaleza, no se puede separar de otra cosa.
(C79<9+(+
Ente que necesita ser realizado para completar una o varias tareas espec%ficas.
2E;:C9:
Empresa privada o p)blica que provee productos y servicios, para satisfacer los requerimientos de
un cliente determinado.
7
%. &ibliograf'a
C:L:#C9(.9nstituto Colombiano de 2ormas t*cnicas y certificacin ,9C:27EC-. 0istemas de
calidad. 0anta &e de Cogot +.C.: 1@@5. 31p. 27CD90: @EE1.
C:/EF #ic$ael y (CCEF #ic$ael, :/(CLE +ata Gare$ousing: La seguridad de los datos, primera
edicin, Espa.a: Editorial #c;raH Bill, 1@@>. 414 p. 90C2: ?5D5?1DE@@?D?.
+E//9E2 Fann, 7*cnicas de la (uditor%a 9nformtica: La direccin de la misin de la auditor%a,
#*!ico +.&.: Ediciones (lga :mega 0.(., 1@@6. 33? p. 90C2 @>ED16DEE4EDI.
Equipo de economistas +<E, Curso completo de auditor%a: 9ntroduccin, Carcelona D Espa.a:
Editorial +e <ecc$i, 0.(., 1@@1, 3E= p., 90C2 : ?5D416DE@6>DE.
&(/LEF #arc, ;u%a de L(2 79#E0J de seguridad e integridad de datos: 0eguridad informtica,
primera edicin, #adrid,Espa.a-: Editorial #c ;raHDBill, 1@@=. 453 p. 90C2: EDE>D??31==D6.
9C# Education and 7raining, 9nternet 0ecurity and fireHalls concepts D 0tudent 2otebooK. 1@@6.
Course code 924E.
9C# Corporation, 0.:.0. en su sistema de computacin, primera edicin, #*!ico: Editorial renticeD
Ball Bispanoamericana, 0.(., 1@@?. 311 p. 90C2: @>ED1>DE11EDE.
#C C:22ELL 07E<E, +esarrollo y gestin de proyectos informticos: ;estin de riesgos, primera
edicin, (ravaca,#adrid-: Editorial #c. ;raH Bill, 1@@=. =@1 p. 90C2:?5D5?1D133@D=.
#E2+EA Carlos E., #etodolog%aD;u%a para elaborar dise.os de investigacin en ciencias
econmicas, contables y administrativas, segunda edicin, 0anta &e de Cogot: Editorial #c ;raH Bill,
1@@4. 1>E p. 90C2: @6?D=EED55=D6.
929LL( Los* +agoberto, (uditor%a 9nformtica D (plicaciones en roduccin: (nlisis de riesgos,
primera edicin, 0anta &e de Cogot: EC:E Ediciones, 1@@>. 34? p. 90C2: @6?D=5?D14@D6.
0(LLE2(<E Lean aul, ;erencia y laneacin Estrat*gica: El m*todo +elfi, segunda edicin,
Colombia: Editorial 2orma, 1@@=. 3?E p. 90C2: @6?DE5D41=3DE.
0C(/:L( /obert, 2:<ELL 2etHare, primera edicin, #adrid: Editorial #c ;raH Bill, 1@@3. 3@5 p.
90C2 ?5D>=16D@56D6.
0E22 Lames (., (nlisis y +ise.o de 0istemas de 9nformacin, 0egunda edicin: Editorial #c ;raH
Bill.
<(';B(2 E##E77 L., /isK #anagement, rimera edicin, Estados 'nidos de (merica: Editorial
Lo$n Giley M 0ons, 1@@>. ?13 p. 90C2 ED5>1D1E>6@DI.
8